Uma nova onda de cibercrimes está chamando a atenção por seu nível de sofisticação. Um grupo que se autodenomina “GreedyBear” conseguiu arrecadar mais de US$ 1 milhão em criptomoedas por meio de uma combinação de ataques que utilizam extensões de navegador, sites falsos e malwares. Essa informação foi compartilhada pela Koi Security, uma empresa especializada em cibersegurança.
Segundo Tuval Admoni, um dos pesquisadores da Koi Security, o GreedyBear reinventou o roubo de criptomoedas em larga escala. Ele comentou que, enquanto muitos grupos se fixam em uma única estratégia — seja ataques via extensões, ransomware ou páginas de phishing — esse grupo decidiu misturar tudo. E a combinação tem tido um resultado espetacular, mostrando que os criminosos estão pensando muito além das abordagens tradicionais.
Mais de 150 extensões falsas de navegador para criptomoedas
De acordo com o relatório, o GreedyBear abusou de mais de 650 ferramentas maliciosas, especificamente direcionadas a usuários de carteiras de criptomoedas. O grupo publicou mais de 150 extensões falsas no Firefox, cada uma disfarçada como carteiras bem conhecidas, como MetaMask e Exodus.
Uma técnica engenhosa chamada “Extension Hollowing” foi utilizada. Basicamente, eles criaram extensões legítimas para passar pelas aprovações das lojas de aplicativos, e depois modificaram essas extensões para roubar dados. Ao fazer isso, as extensões maliciosas conseguem capturar automaticamente as credenciais dos usuários.
Admoni destaca que essa estratégia tem sido eficaz para driblar a segurança das lojas de extensões. Isso acontece porque os golpistas primeiro fazem parecer que as extensões são seguras e confiáveis, transformando-as em vulnerabilidades silenciosas.
Deddy Lavid, CEO da Cyvers, também comentou sobre essa situação, alertando que essa campanha é uma demonstração clara de como a confiança dos usuários em plugins populares pode ser explorada pelos cibercriminosos. Eles estão não só clonando perfis confiáveis, mas também inflacionando avaliações antes de injetar códigos maliciosos.
Malware com temática cripto
Outro aspecto assustador dessa onda de ataques é o uso de malwares temáticos. A Koi Security identificou quase 500 amostras de malwares que visam especificamente dados de carteiras de criptomoeda, como o LummaStealer. Há também variantes de ransomware, como o Luca Stealer, que exigem pagamentos em criptomoeda.
A maioria desses malwares é distribuída por sites russos que oferecem softwares piratas, amplificando ainda mais o risco para os usuários.
Rede de sites fraudulentos
Por fim, a rede do GreedyBear inclui uma série de sites falsos que se apresentam como serviços de criptomoeda. Ao contrário dos típicos sites de phishing, que imitam portals de login, essas páginas são mais complexas e se disfarçam como ofertas atrativas, anunciando carteiras digitais e dispositivos de hardware.
Essas páginas possuem um servidor que atua como um centro de comando, coletando credenciais e coordenando atividades maliciosas. Isso permite que os atacantes otimizem suas operações, alcançando mais vítimas de maneira eficaz.
A situação se complica ainda mais com o uso de códigos gerados por IA, que facilitam a expansão rápida e a diversificação dos ataques. Essa evolução sugere que este tipo de cibercrime esteja se tornando o “novo normal”.
O alerta que fica é sobre a importância de uma verificação mais rigorosa por parte dos fornecedores de navegadores, transparência dos desenvolvedores e, principalmente, vigilância constante dos usuários.
